DNS ハイジャック
DNS ハイジャック とは何ですか?
DNS ハイジャッククライアント設定、ルーター設定、リゾルバ応答、または権威 DNS レコードを書き換え、DNS 解決を攻撃者が制御する応答へ誘導する攻撃。
DNS ハイジャックは、利用者と目的のサービスをつなぐ DNS の経路を破壊する一連の技術の総称です。端末上(マルウェアが DNS 設定や hosts を変更)、家庭・企業ルーター(侵害された CPE)、再帰リゾルバ(キャッシュ汚染や中間者攻撃)、権威 DNS 提供事業者(アカウント侵害、認証情報窃取、レジストラ悪用)など、さまざまな層で発生します。DNS を乗っ取られると、攻撃者はメールの傍受、対象名に対する TLS 証明書の取得、正規ドメインを偽装したフィッシング、その他の侵入の足がかりとしての利用が可能です。DNSpionage や Sea Turtle といった有名なキャンペーンがその典型例です。対策には、DNSSEC、レジストリ/レジストラロック、CAA レコード、DNS レコードと Certificate Transparency ログの監視、DNS 提供事業者アカウントの MFA、検証済みの再帰リゾルバ(DoH/DoT)の利用などがあります。
● 例
- 01
攻撃者がレジストラアカウントを侵害し、被害者の NS を自身の DNS に書き換え、その後対象名で TLS 証明書を取得してサイトを偽装する。
- 02
ルーターのマルウェアが家庭内の全機器を不正なリゾルバへ誘導し、銀行ドメインをフィッシングサーバーへリダイレクトする。
● よくある質問
DNS ハイジャック とは何ですか?
クライアント設定、ルーター設定、リゾルバ応答、または権威 DNS レコードを書き換え、DNS 解決を攻撃者が制御する応答へ誘導する攻撃。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
DNS ハイジャック とはどういう意味ですか?
クライアント設定、ルーター設定、リゾルバ応答、または権威 DNS レコードを書き換え、DNS 解決を攻撃者が制御する応答へ誘導する攻撃。
DNS ハイジャック からどのように防御しますか?
DNS ハイジャック に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。